NQLデータタイプ

データ型は、フィールドに格納された値の属性です。これは、フィールドにどのような種類のデータを格納できるかを決定します。

where句を使用してNQLクエリに条件を適用するとき、同じデータ型の値のみが比較可能であり、これは値の形式に反映されます。

例えば、次のクエリでは、

最初のwhere句は、文字列データ型の値を比較します。そのため、比較値は文字列であることを示すために引用符で囲まれています。
2番目のwhere句はバージョンを比較します。ここでは、比較値の前に'v'が付き、バージョン番号を表すために複数のポイントが含まれています。
最後のwhere句は整数を比較します。この場合、比較値は追加の文字なしで単独の数字として表現されます。

過去1日間のデバイス
| 過去1日間の実行中にクラッシュを含む
| where application.name == "Microsoft 365: Teams"
| where binary.version == v1.7.0.1864
| compute number_of_crashes_ = number_of_crashes.sum()
| where number_of_crashes_ >= 3

NQLデータモデルには、次のデータ型が存在します。

データタイプ

有効な演算子

定義

値の例

文字列

== または =

!=

in

!in

テキスト文字の文字列

"abc" または 'abc'

int

=

!=

<

>

<=

>=

in

!in

整数

10

float

=

!=

<

>

<=

>=

浮動小数点数

10.1

ブール値

=

!=

真または偽の値

true

false

日付と時間

=

!=

<=

>=

日付と時間

2024-07-15 10:15:00

列挙型

=

!=

名前付き要素の集合

例えば red blue white

status == red

バイト

<

>

<=

>=

バイト数

（単位を持つ整数）

100B

200KB

3MB

12GB

2TB

長さ

=

!=

<

>

<=

>=

時間の長さ

（単位付き整数）

5ms

10s

4min

3h

2d

IPアドレス

=

!=

IPv4またはIPv6アドレス

オプションのマスク付き

123.123.0.0

123.123.0.0/24

f164:b28c:84a5:9dd3:ef21:8c9d:d3ef:218c

f164:b28c:84a5:9dd3::/32

バージョン

<

>

<=

>=

==

!=

.で区切られた数値の集合

v12.212

v1.2.5.9

v13.5.10

v2022.6

v1.2.4125

v6.8.9.7.6.5.4.3

文字列配列

contains

!contains

文字列の配列

例えば ['abc', 'def', 'xyz']

tags contains "abc"

tags !contains "*xyz"

Last updated 18 days ago

Was this helpful?